상세 컨텐츠

본문 제목

SamSam 랜섬웨어 운영자들, 약 $600만 달러 랜섬머니 벌어들여

국내외 보안동향

by 알약(Alyac) 2018. 8. 1. 13:40

본문

SamSam Ransomware Crew Made Nearly $6 Million From Ransom Payments


SamSam 랜섬웨어의 제작자들이 2015년 말부터 지금까지 $590만 이상을 벌어들인 것으로 나타났습니다.


보안 회사인 Sophos가 발행한 47페이지의 보고서는 연구원들이 과거 공격들, 희생자와의 인터뷰 등으로부터 수집한 데이터들 및 어디선가 유출 된 SamSam 샘플의 공개/개인 소스들을 바탕으로 작성 되었습니다.


또한 연구원들은 블록체인 및 가상화폐 모니터링 회사인 Neutrino와 협업해 SamSam 운영자들이 사용한 여러 비트코인 주소들 사이의 송금 및 관계를 추적했습니다.



233명의 피해자, 랜섬머니 지불 해


연구원들이 찾을 수 있었던 모든 비트코인 주소를 추적한 결과, SamSam 운영자에게 랜섬머니를 지불한 피해자는 최소 233명으로 나타났습니다. 이들 중 86명은 랜섬머니를 지불했다는 사실을 공개적으로 밝히며, 자신의 신상정보를 연구원들에게 공개했습니다.


이 피해자 86명의 데이터를 조사 결과, 피해자들 중 3/4가 미국에 있었으며 영국, 벨기에, 캐나다에서도 일부 피해자들이 발견 되었습니다.


랜섬머니를 지불한 피해자들 중 절반은 민간 부문 회사였으며, 1/4는 의료기관, 13%는 정부 기관, 그리고 약 11%는 교육 부문의 기관이었습니다.


연구원들은 SamSam 랜섬노트에 사용 된 157개의 비트코인 주소에 입금이 된 것을 발견했으며, 다른 88개 주소에는 입금 된 돈이 없었다고도 밝혔습니다.


이 주소들에 저장 된 금액은 약 $590만으로, 이전 추정치인 $85만을 훨씬 웃돌고 있습니다.


또한 SamSam은 보통 하루에 한 명의 피해자를 만들며, 피해자들 4명 중 1명이 랜섬머니를 지불한다고 말했습니다.


한 피해자로부터 받은 랜섬머니는 약 $64,000으로, 일반적인 랜섬머니가 $200~$1,000으로 책정된다는 것을 감안할 때 매우 큰 금액입니다.



거의 동일하게 유지되어 온 SamSam


랜섬머니가 이렇게 높게 측정 된 이유는 SamSam 그룹의 운영 방식 때문입니다. SamSam은 2015년 말 처음 등장한 이래로 다른 대부분의 랜섬웨어 위협들과 항상 차이를 보였습니다.


SamSam의 운영자들은 이메일 스팸, 익스플로잇 키트(멀버타이징), 가짜 소프트웨어 업데이트 등 절대 대량 배포 전략을 사용하지 않았습니다. 대신, 그들은 JBoss 서버의 알려진 취약점들을 이용해 패치 되지 않은 JBoss를 사용하며 인터넷으로 접근이 가능한 회사들을 노렸습니다.


JBoss 소유주들이 서버를 패치하고 새로운 피해자들을 찾기 힘들어지자 그들은 인터넷에서 RDP 연결이 노출 된 네트워크를 찾기 시작했습니다. 이후 노출 된 엔드포인트에 브루트포싱 공격을 실행해 취약한 크리덴셜을 사용하는 장비를 찾으려 시도했습니다.


일단 네트워크 내부로 침입하면, 공격자들은 네트워크를 스캔하고, 레이아웃을 매핑하고, PsExec과 같은 정식 툴을 이용해 그들의 접근 권한을 로컬 서버에서 다른 워크 스테이션으로 확장시키기 위한 시간을 충분히 가졌습니다.


이후 모든 PC의 데이터를 암호화 하고, 해당 회사에 랜섬노트를 표시해 감염 된 컴퓨터의 선택 된 일부분만, 또는 전체를 복호화 하기 위한 금액을 지불할 수 있도록 했습니다.


“비교적 적은 퍼센트만이 개별 기기에 대해서만 지불하는 것을 선택했습니다.”


“대부분의 피해자들은 전체 기기에 대한 금액을 지불했으며, 이들 중 일부는 테스트로 먼저 기기 한대에 대해서만 돈을 지불한 후 전체 금액을 지불했습니다.”



SamSam 그룹, 더욱 조심스럽게 활동 해


연구원들은 SamSam 랜섬웨어 버전 최소 3가지를 발견했으며, 보안 연구원들이 분석할 수 없도록 더욱 많은 보안 장치를 추가하고 있다고 말했습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/samsam-ransomware-crew-made-nearly-6-million-from-ransom-payments/>


또한 시간이 지날수록, SamSam 운영자들의 행동은 더욱 조심스러워져, 랜섬 지불 사이트를 다크웹으로 옮기고 SamSam 코드를 더 많이 난독화했습니다.


지난 3년 동안 전 세계의 회사들을 공격해 왔기 때문에, 법 집행 기관들과 보안 회사들은 SamSam의 제작자를 밝힐 수 있는 조그만 단서라도 찾기를 간절히 바라고 있기 때문입니다.


또한, 연구원들은 SamSam이 그룹으로 활동하지 않는 것으로 보인다고 밝혔습니다. 모든 랜섬노트와 랜섬 지불 포털에 사용 된 언어 및 기타 행동상 특색을 분석 결과, SamSam 랜섬웨어는 그룹이 아닌 한 개인이 운영하는 것으로 보인다고 말했습니다.





출처 :

https://www.bleepingcomputer.com/news/security/samsam-ransomware-crew-made-nearly-6-million-from-ransom-payments/

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf



관련글 더보기

댓글 영역